Debian DLA-323-1：fuseiso 安全更新

high Nessus 插件 ID 86226

语言：

简介

远程 Debian 主机缺少安全更新。

描述

最近已在用于 fuseiso 程序包的 Debian LTS (squeeze) 中修复了以下两个问题。

问题 1

在 FuseISO（用于挂载 ISO 文件系统映像的 FUSE 模块）读取特定 inode 的某些 ZF 区块的方式中发现了整数溢出，导致基于堆的缓冲区溢出缺陷。远程攻击者可提供特别构建的 ISO 文件，当通过 fuseiso 工具挂载此文件时，会导致 fuseiso 二进制文件崩溃。

此问题由 Red Hat 产品安全团队的 Florian Weimer 发现。

通过在读取超出受支持的块大小 (2^17) 的 ZF 块之前执行退出，已解决此问题。

问题 2

在 FuseISO（用于挂载 ISO 文件系统映像的 FUSE 模块）扩展绝对路径文件名条目的目录部分的方式中发现了基于堆栈的缓冲区溢出缺陷。远程攻击者可提供特别构建的 ISO 文件，当通过 fuseiso 工具挂载此文件时，会导致 fuseiso 二进制文件崩溃，或可能以运行 fuseiso 可执行文件的用户的权限执行任意代码。

此问题由 Red Hat 产品安全团队的 Florian Weimer 发现。

通过检查所生成的绝对路径名长度以及在超过平台的 PATH_MAX 值时执行退出，已解决此问题。

注意：Tenable Network Security 已直接从 DLA 安全公告中提取上述描述块。Tenable 已尝试在不引入其他问题的情况下尽可能进行了自动整理和排版。

解决方案

升级受影响的 fuseiso 程序包。

另见

https://lists.debian.org/debian-lts-announce/2015/10/msg00001.html

https://packages.debian.org/source/squeeze-lts/fuseiso

插件详情

严重性: High

ID: 86226

文件名: debian_DLA-323.nasl

版本: 2.4

类型: local

代理: unix

系列: Debian Local Security Checks

发布时间: 2015/10/2

最近更新时间: 2021/1/11

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:fuseiso, cpe:/o:debian:debian_linux:6.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

补丁发布日期: 2015/10/1